今年4月、AIという名の地震がサイバーセキュリティの世界を揺るがしました。AnthropicがClaude Mythosモデルのプレビューを発表したのですが、その調査結果はCISO、セキュリティチーム、そしてあらゆる業界のビジネスリーダーにとって警鐘となっています。わずか数週間のテストで、Mythosは主要なオペレーティングシステムやブラウザに存在する数千ものゼロデイ脆弱性を自律的に特定しました。その中には、27年間もの人間によるレビューをくぐり抜けてきたOpenBSDの欠陥も含まれています。
これは単なるAIの段階的進化ではなく、攻撃的な能力の利用可能性が劇的に拡大したことを意味します。もはや「一件、二件」のバグハントの時代ではありません。脆弱性が発見されてからエクスプロイトが開発されるまでの時間が、数カ月ではなく数分で計られる時代に突入したのです。
しかし、2026年版ペネトレーションテスト現状レポートのデータが示すように、多くの組織はいまだにマシンスピードの危機に対してアナログなプロセスを適用し続けています。
249日間という露出リスク
2026年版ペネトレーションテスト現状レポートで攻撃的セキュリティの現状を分析したところ、業界のリーダーと遅れを取っている組織の間に、危険なパフォーマンス格差が生じていることが明らかになりました。修復のトレンドに関する調査では、組織がリスクの高い問題を解決する速さに25倍もの差があることが判明しています。この露出ウィンドウは深刻な損害リスクとなり得るもので、攻撃者が狙い澄ましているセキュリティ負債の山でもあります。
明るい話題もあります。上位のチームは、重大な問題の50%を解決するまでの時間を示す「ハイリスク発見事項の半減期」をわずか10日間にまで縮めています。一方、下位10%の組織では、高リスクの脆弱性を249日間も放置しているのが実態です。
MythosがわずかHours単位でエクスプロイトを自律的に連鎖させられる世界において、8カ月もの露出ウィンドウは壊滅的な結果をもたらしかねません。今日バグを発見したとしたら、フロンティアモデルを使った攻撃者がすでにそれを悪用しようとしていると考えるべきです。
CISOの死角
最も深刻な警告サインは、経営トップに存在する危険な認識のズレです。C級幹部の57%が、自社は修復SLAを常に遵守していると信じています。ところが実際に現場で作業をしている担当者に聞くと、その数字はわずか15%にまで急落します。
この認識と現実のギャップこそが、侵害が生まれる温床です。経営幹部はツールへの投資を続けていますが、現場の担当者は脆弱性量の10倍増という現実に溺れかけています。自動化された脅威に対し、手作業で断続的なワークフローで戦うことを強いられているチームには、「態勢疲弊」が生じ始めています。
プログラム的優位性:AIスケールで活かす人間の知性
人員を10倍に増やすことで、10倍の脆弱性量という問題を解決することはできません。答えは、場当たり的なチェックボックス式コンプライアンステストから、プログラム的な攻撃的セキュリティモデルへの移行にあります。
これは人材とテクノロジーの融合です。人間主導でAIを活用したペネトレーションテストを開発ライフサイクルに直接組み込むことで、組織はようやく脅威のスピードに追いつくことができます。データが示す成果は明らかで、プログラム的なチームは、事後対応型のコンプライアンス主導サイクルで動く組織と比べ、重大な問題を3日以内に解決できる可能性が4.5倍高いことが示されています。
戦術的転換:ゼロデイを前提とした対応
10年以上にわたり、サイバーセキュリティ業界は「侵害を前提とする(Assume Breach)」という理念のもとで活動してきました。これは、攻撃者はいずれ侵入経路を見つけ出すという戦術的な受け入れを意味しています。しかし、AIが脆弱性の武器化を加速させる今、私たちは「ゼロデイを前提とする(Assume Zero-Day)」という態勢へと進化しなければなりません。
この新しいフレームワークのもとでは、発見されたすべての脆弱性を、パッチサイクルを待つ「既知のバグ」としてではなく、実際に武器化された生きた脅威として扱います。AIが事実上すべての高リスク脆弱性をゼロデイと同等に引き上げたのであれば、私たちの防御戦略も変えなければなりません。
- 仮想パッチ(Virtual patching): 開発エンジニアリングのボトルネックが主な障害となっているため、チームが長期的な修復に取り組む間も、仮想パッチを活用して攻撃ベクトルを即座にブロックする必要があります。
- ライブリスク台帳(Live risk registers): ペンテストレポートを棚に閉まう静的なPDFとして扱うのをやめ、開発者の日々の優先事項を動かすリアルタイムの統合フィードとして機能させる必要があります。
- 防御へのAI活用(AI for defense): 攻撃者よりも先に脆弱性を発見・修正するため、同じマシンスピードの能力を防御側でも活用しなければなりません。
自社組織が戦略的なリーダーなのか、それとも戦術的な遅れをとっている組織なのかを、今こそ真剣に見つめ直す時です。即座に悪用が可能な時代において、露出ウィンドウは最大のリスク要因です。そして知識、データに基づく洞察、人間の専門性こそが、最大の強みとなります。
著者プロフィール
Gunter Ollmann、CTO、Cobalt
Gunter OllmannはCobaltの最高技術責任者(CTO)です。サイバーセキュリティ分野で30年以上のキャリアを持ち、今日業界全体で活用されている攻撃的セキュリティ手法の多くを先駆けて開発してきました。
